Patch day Microsoft di settembre 2018: alcune vulnerabilità sono davvero pericolose

• Patch management
• Business

Il patch day Microsoft di questo mese appare particolarmente importante sia per il numero di vulnerabilità che vengono risolte in Windows e negli altri software dell’azienda di Redmond, sia per la gravità delle falle di sicurezza.

Microsoft ha complessivamente risolto 61 vulnerabilità rilasciando 127 patch individuali e pubblicando due advisory aggiuntivi.

Tra gli aggiornamenti più critici ve ne sono innanzi tutto due di grande interesse. Il primo è CVE-2018-8475: un aggressore remoto può eseguire codice dannoso sul sistema dell’utente semplicemente inducendo quest’ultimo a caricare un’immagine malevola preparata “ad arte”. Secondo gli esperti di Cisco Talos è sufficiente caricare l’immagine in una pagina web o inserirla nel corpo di un’email per provocare l’esecuzione del codice malevolo.

La seconda vulnerabilità particolarmente pericolosa è CVE-2018-8440. L’aggiornamento Microsoft risolve la lacuna scoperta nell’interfaccia ALPC di Windows e di cui avevamo parlato nell’articolo Acquisire i privilegi SYSTEM diventa possibile su tutte le versioni di Windows.
Rispetto alla precedente, questa falla non può essere sfruttata in modalità remota perché presuppone l’esecuzione di un file sul sistema dell’utente. Allorquando il file malevolo venisse eseguito, indipendentemente dalla tipologia di account utilizzata, esso guadagnerà i diritti SYSTEM con la possibilità di eseguire qualunque tipo di operazione sulla macchina.

Queste due sono le vulnerabilità indubbiamente più gravi perché in entrambi i casi il codice exploit utile per sfruttarle è già conosciuto e nel caso della falla ALPC il problema è già adoperato in attacchi veri e propri.

Critica anche la vulnerabilità CVE-2018-8457.
Essa ha a che fare con il motore di scripting utilizzato nei browser Microsoft: è sufficiente che un aggressore riesca a persuadere la vittima ad aprire una pagina web malevola perché si verifichi l’esecuzione di codice dannoso. Il problema è grave perché il codice nocivo viene caricato con i diritti dell’account utente in uso (compresi quindi gli account amministrativi).
Sempre sulla stessa “lunghezza d’onda” altre vulnerabilità similari che riguardano il motore di scripting Chakra oltre, nello specifico, Edge e Internet Explorer.

Microsoft ha rilasciato anche due patch per risolvere alcune falle nel motore database JET: in mancanza di questi due aggiornamenti l’apertura di un foglio elettronico malevolo potrebbe portare all’esecuzione di codice dannoso.

Vulnerabilità critica anche nel componente di Windows che si occupa del rendering delle fonti di carattere: invitando la vittima ad aprire un documento o una pagina web contenenti font malformate, un aggressore può provocare il caricamento di codice arbitrario con i diritti dell’account utente in uso.

Due falle particolarmente gravi riguardano anche Microsoft Hyper-V e possono consentire a un’applicazione eseguita nella macchina virtuale di superarne i limiti e caricare codice dannoso sul sistema host. Si tratta, evidentemente, di falle che i provider e i fornitori di servizi cloud in generale devono subito sanare mediante l’installazione delle apposite patch risolutive.

Questo mese, vista la gravità di alcune falle, non ci sentiamo di suggerirvi di temporeggiare con l’installazione degli aggiornamenti.

Ciò che si può fare, comunque, è limitarsi a installare almeno gli aggiornamenti correttivi per le prime due vulnerabilità illustrate in precedenza (CVE-2018-8475 e CVE-2018-8440).
Per procedere in tal senso, comportarsi così come segue:

1) Visitare questa pagina e quest’altra pagina.

2) Scorrere entrambe le pagine fine a trovare il paragrafo Affected Products e cercare la versione di Windows in uso (colonna Product). Annotare il numero (knowledge base Microsoft) mostrato nella colonna Article. Scegliere il pacchetto Security only ove disponibile.

3) Portarsi a questo indirizzo e nella casella di ricerca in alto a destra digitare prima l’uno poi l’altro numero rilevati al passo precedente.

4) Scaricare quindi il pacchetto di aggiornamento più appropriato a seconda che si utilizzi un sistema Windows a 32 o 64 bit.

Con la pubblicazione di questo advisory Microsoft ha confermato che gli aggiornamenti di questo mese risolvono anche un ulteriore problema che accomuna tutte le versioni di Windows e che può facilitare attacchi DoS.